Le malware Qbot datant de 10 ans est de retour

la dernière souche de Qbot repose sur le script Visual Basic pour se glisser dans les machines cibles
Nous l'avons dit une fois, nous l'avons dit mille fois. ^{Ne pas ouvrir les pièces jointes étranges, les enfants}

Une nouvelle version du logiciel malveillant Qbot, volant des identifiants bancaires et datant de 10 ans, circule, selon la société d’informations V Varonis.

La dernière version, repérée après l’infection des systèmes d’un client malheureux, conserve les caractéristiques de polymorphisme anti-analyse de la version originale, selon les chercheurs de Varonis.

Une fois présent sur un réseau ciblé, le programme malveillant Windows commence à forcer brutalement les comptes réseau du groupe Utilisateurs du domaine Active Directory. Il exécute également les opérations traditionnelles d'enregistrement au clavier, de raccordement (analyse de tous les processus du système à la recherche de chaînes liées aux opérations bancaires et extraction de celles-ci) et de fonctions de vol de justificatifs d'identité.

"La campagne cible activement les entreprises américaines, mais a touché des réseaux dans le monde entier - avec des victimes en Europe et en Amérique du Sud - dans le but de voler des informations financières exclusives, y compris des comptes bancaires"

a averti le business infoec.

Après avoir analysé la nouvelle souche, les chercheurs ont découvert que le lanceur était une archive .zip contenant un fichier portant l'extension ".doc.vbs", indiquant que "la première infection aurait probablement été provoquée par un courrier électronique de phishing victime en exécutant le fichier VBS malveillant ".

Tromper un utilisateur ordinaire en exécutant un script Visual Basic constitue une nouvelle tournure par rapport au Qbot d’origine, dont le déclencheur local était une macro Word - une technique de propagation de programmes malveillants au moins deux fois plus vieille que Qbot .

Une fois exécuté, le script VB recherche des programmes antivirus courants, notamment Windows Defender, Malwarebytes, Kaspersky et Trend Micro. Il utilise ensuite l'outil de téléchargement de ligne de commande Windows intégré BITSAdmin pour télécharger le programme malveillant lui-même, en effectuant une modification par rapport aux exemples précédents de Qbot qui utilisaient simplement Powershell dans une machine cible .

S'il n'y a pas de connexion Internet sur la machine cible, "le logiciel malveillant se copiera lui-même à différents endroits des périphériques infectés et continuera à fonctionner. S'il ne peut pas envoyer d'informations, il sera stocké et crypté sur le périphérique, "Snir Ben Shimol, directeur de la cybersécurité de Varonis, a déclaré à The Register .

Varonis a analysé toutes les versions du nouveau chargeur Qbot qu’elles ont pu trouver et ont découvert qu’elles étaient toutes signées numériquement aux noms de sociétés anonymes britanniques, qui avaient toutes été incorporées au cours des deux dernières années.

La société a déclaré qu'en analysant l'un des serveurs de commande et de contrôle avec lesquels la nouvelle souche Qbot avait parlé, elle avait identifié 40 000 machines Windows connectées à ce seul serveur. "Nous avons pu trouver des fichiers journaux contenant les adresses IP de la victime, les informations relatives au système d'exploitation et les noms de produits antivirus. Le serveur C2 a révélé des activités passées, ainsi que ce qui semble être des versions de programmes malveillants supplémentaires."

Presque toutes les machines infectées exécutaient Windows Defender, en fonction des résultats du script VB appelés par le serveur. Environ 90% des adresses IP infectées provenaient des États-Unis, moins de 10% des autres étant britanniques. ®

Source : theregister